[Tool Re 1] Hướng dẫn debug động virus bằng IDA
Chào các bạn, trước đây tôi cứ quan niệm phân tích virus CFF+ IDA + Olly là đủ, tuy nhiên nhờ một sự kiện... đã làm tôi thay đổi suy nghĩ đó và tôi sẽ viết một seri liên quan đến các tool liên quan đến phân tích mã độc tôi tìm hiểu thêm được, cũng như các cái hay của các tool này.
Đầu tiên nói đến IDA, trước đây tôi chỉ dùng IDA để phân tích tĩnh, chưa chú ý đến các cái hay khác của IDA, cái hay đầu tiên tôi muốn nhắc tới là dùng IDA để phân tích động virus, tính năng debug có cả trên bản IDA Pro và IDA Free.
Bắt đầu debug, chúng ta kéo mẫu vào IDA => Trong tab debugger => Select debugger => Local Win32 debugger
Một số phím tắt đê debug, các phím tắt này tôi thấy giống Olly
Chúng ta có thể thấy: Hầu hết các cửa sổ để debug động của Olly thì IDA đều có và sự khác biệt đến từ cửa sổ Pseudocode, tuy nhiên điểm mạnh của olly là debug các vùng memoory khác nhau, đặt breakpoint hardware, dump memory... Trong bài viết tiếp theo, tôi sẽ đánh giá vấn đề này để xem IDA có thay thế hoàn toàn được Olly không
[Còn tiếp......................................]
Đầu tiên nói đến IDA, trước đây tôi chỉ dùng IDA để phân tích tĩnh, chưa chú ý đến các cái hay khác của IDA, cái hay đầu tiên tôi muốn nhắc tới là dùng IDA để phân tích động virus, tính năng debug có cả trên bản IDA Pro và IDA Free.
Bắt đầu debug, chúng ta kéo mẫu vào IDA => Trong tab debugger => Select debugger => Local Win32 debugger
Một số phím tắt đê debug, các phím tắt này tôi thấy giống Olly
- F2: Để đặt breakpoint
- F9: Bắt đầu chạy debugg
- F7: Debug từng lệnh
- F8: Debug qua hàm
- Pseudocode: Cửa sổ thê hiện mã code C (IDA Pro mới có), đây cửa sổ thể hiện sự khác biệt giữa debug bằng IDA vs Olly: Khi debug Olly chúng ta như đi trong mê cung không biết lối ra, còn IDA thì cho chúng ta một cái nhì tổng quan nên dễ dàng trong việc phân tích
- Watch view: Cửa sổ để xem giá trị các biến
- Stack view: Cửa sổ xem stack
- General Registers: Cửa sổ xem giá trị thanh ghi
Chúng ta có thể thấy: Hầu hết các cửa sổ để debug động của Olly thì IDA đều có và sự khác biệt đến từ cửa sổ Pseudocode, tuy nhiên điểm mạnh của olly là debug các vùng memoory khác nhau, đặt breakpoint hardware, dump memory... Trong bài viết tiếp theo, tôi sẽ đánh giá vấn đề này để xem IDA có thay thế hoàn toàn được Olly không
[Còn tiếp......................................]
Chỉnh sửa lần cuối bởi người điều hành: